緒論:在尋找寫作靈感嗎���?愛(ài)發(fā)表網(wǎng)為您精選了8篇等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估��,愿這些內(nèi)容能夠啟迪您的思維�����,激發(fā)您的創(chuàng)作熱情�,歡迎您的閱讀與分享!
篇1
電子文件風(fēng)險(xiǎn)評(píng)估是電子文件安全管理的重要前提和基礎(chǔ)����,也是檔案信息化建設(shè)的重要課題?����;陲L(fēng)險(xiǎn)評(píng)估的電子文件安全管理體系能夠?qū)﹄娮游募畔踩珷顩r進(jìn)行“把脈”,提出針對(duì)性的“診療”手段����,而不是傳統(tǒng)管理被動(dòng)的“頭痛醫(yī)頭腳痛醫(yī)腳”。
一�����、電子文件風(fēng)險(xiǎn)評(píng)估的意義
(一)風(fēng)險(xiǎn)評(píng)估是電子文件安全管理的前提和基礎(chǔ)���。由于自身的特點(diǎn)���,電子文件的風(fēng)險(xiǎn)始終客觀存在。檔案工作者的努力目標(biāo)就是利用一切先進(jìn)的技術(shù)和方法���,把風(fēng)險(xiǎn)降到最低�,把損失控制在最小的范圍內(nèi)�。運(yùn)用風(fēng)險(xiǎn)管理的理念和方法,對(duì)電子文件進(jìn)行風(fēng)險(xiǎn)評(píng)估���,能夠?qū)﹄娮游募M(jìn)行科學(xué)�、全面的分析�����,查找可能威脅電子文件的風(fēng)險(xiǎn),在風(fēng)險(xiǎn)發(fā)生之前作出判斷�����,采取措施����,及時(shí)應(yīng)對(duì)��。因此���,風(fēng)險(xiǎn)評(píng)估對(duì)檔案工作具有重大意義�,是傳統(tǒng)檔案管理方法的有益補(bǔ)充���。
(二)風(fēng)險(xiǎn)評(píng)估是進(jìn)一步完善電子文件安全管理的關(guān)鍵環(huán)節(jié)�����。它能夠利用科學(xué)的量化標(biāo)準(zhǔn)��,對(duì)風(fēng)險(xiǎn)發(fā)生的概率及其可能造成的損失進(jìn)行預(yù)測(cè)和分析��,并在此基礎(chǔ)上對(duì)存在風(fēng)險(xiǎn)的環(huán)節(jié)進(jìn)行改進(jìn)和完善�����。電子文件安全管理實(shí)行風(fēng)險(xiǎn)評(píng)估能夠使管理者全面����、清晰地把握電子文件存在的危險(xiǎn)和不足,有利于進(jìn)一步改進(jìn)管理方法���,理清管理思路���,完善管理制度,全面提升電子文件管理水平�。
(三)風(fēng)險(xiǎn)評(píng)估是實(shí)施電子文件安全等級(jí)保護(hù)的必然要求。要對(duì)各類電子文件實(shí)施安全等級(jí)保護(hù)��,就要在電子文件安全管理中開(kāi)展風(fēng)險(xiǎn)評(píng)估����,對(duì)電子文件安全管理體系中存在的風(fēng)險(xiǎn)進(jìn)行安全預(yù)測(cè),科學(xué)定級(jí)�,分級(jí)管理。
(四)風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)電子文件管理國(guó)際化的重要途徑。隨著信息安全工作的發(fā)展�,風(fēng)險(xiǎn)管理在電子文件管理中的作用越來(lái)越得到人們的認(rèn)可,信息安全風(fēng)險(xiǎn)評(píng)估也從單一的技術(shù)手段發(fā)展成為一種科學(xué)的管理體系���,科學(xué)統(tǒng)一的技術(shù)規(guī)范和評(píng)定依據(jù)逐漸成為風(fēng)險(xiǎn)評(píng)估的必需��。由于信息安全事關(guān)國(guó)家利益�����,大部分發(fā)達(dá)國(guó)家都制訂了電子文件風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)���,并將之作為行業(yè)的技術(shù)性法規(guī)。電子文件管理廣泛開(kāi)展風(fēng)險(xiǎn)評(píng)估��,有利于推廣信息技術(shù)安全保護(hù)標(biāo)準(zhǔn)化����,有利于促進(jìn)國(guó)際間技術(shù)交流合作�,是實(shí)現(xiàn)電子文件管理國(guó)際化的重要途徑。
二、電子文件風(fēng)險(xiǎn)評(píng)估工作的困境
(一)風(fēng)險(xiǎn)認(rèn)識(shí)存在偏差。電子文件已經(jīng)成為檔案產(chǎn)生���、保存和管理的主要形式,由于其自身特點(diǎn)����,各種各樣的危險(xiǎn)始終緊隨著電子文件�,但許多人對(duì)電子文件風(fēng)險(xiǎn)的認(rèn)識(shí)卻存在不同偏差。有的風(fēng)險(xiǎn)意識(shí)薄弱���,認(rèn)為傳統(tǒng)紙質(zhì)檔案對(duì)保存環(huán)境要求條件高�����,需要預(yù)防微生物����、蟲害、嚙齒動(dòng)物等的損害�,還要時(shí)刻注意光照�、溫度���、濕度���、灰塵等因素,而電子文件只需要一臺(tái)計(jì)算機(jī)就能解決所有問(wèn)題����,而且保存簡(jiǎn)單、利用方便����,一勞永逸����。也有的認(rèn)為電子文件作為信息技術(shù)的產(chǎn)物����,必然面臨不可讀����、失真����、黑客等威脅��,且一旦造成損失����,往往是蕩然無(wú)存又無(wú)法挽救�����,其風(fēng)險(xiǎn)無(wú)可避免���。也有的認(rèn)為現(xiàn)代信息技術(shù)十分先進(jìn)�����,只要建立科學(xué)的管理體系�,采納先進(jìn)的管理技術(shù)��,絕對(duì)能夠避免電子文件的風(fēng)險(xiǎn)����。正是因?yàn)榇嬖趯?duì)風(fēng)險(xiǎn)認(rèn)識(shí)的各種偏差���,導(dǎo)致管理者和利用者沒(méi)有科學(xué)、正確地認(rèn)識(shí)電子文件的風(fēng)險(xiǎn)���,或者麻痹大意�,或者失去信心���,或者陷入一味追求絕對(duì)安全的誤區(qū)��。正是因?yàn)榇嬖诟鞣N對(duì)風(fēng)險(xiǎn)認(rèn)識(shí)的偏差�����,目前我國(guó)電子文件風(fēng)險(xiǎn)管理水平較低����,尤其缺乏必要的風(fēng)險(xiǎn)評(píng)估活動(dòng)���。
(二)安全風(fēng)險(xiǎn)評(píng)估工作滯后�����。一是沒(méi)有一支專業(yè)的風(fēng)險(xiǎn)評(píng)估隊(duì)伍��。電子文件風(fēng)險(xiǎn)評(píng)估是一項(xiàng)專業(yè)化非常強(qiáng)的工作���,我國(guó)有一些風(fēng)險(xiǎn)意識(shí)較強(qiáng)的已經(jīng)嘗試開(kāi)展風(fēng)險(xiǎn)管理�,但仍然沒(méi)有一支專業(yè)的風(fēng)險(xiǎn)評(píng)估隊(duì)伍���。二是評(píng)估標(biāo)準(zhǔn)亟待完善�����。根據(jù)國(guó)家信息安全等級(jí)保護(hù)“自主定級(jí),自主保護(hù)”的原則��,應(yīng)該根據(jù)自身情況制訂科學(xué)的定級(jí)標(biāo)準(zhǔn)����,嚴(yán)格執(zhí)行,確保電子文件安全管理���。但我國(guó)大部分目前尚未制訂信息安全保護(hù)等級(jí)標(biāo)準(zhǔn)�,沒(méi)有真正執(zhí)行電子文件等級(jí)保護(hù)的規(guī)定�。三是風(fēng)險(xiǎn)管理缺乏系統(tǒng)性。電子文件風(fēng)險(xiǎn)管理是一個(gè)系統(tǒng)工作,包括風(fēng)險(xiǎn)管理規(guī)劃�����、風(fēng)險(xiǎn)評(píng)估�、風(fēng)險(xiǎn)應(yīng)對(duì)和風(fēng)險(xiǎn)監(jiān)控等四個(gè)基本環(huán)節(jié)。風(fēng)險(xiǎn)評(píng)估是整個(gè)風(fēng)險(xiǎn)管理的基礎(chǔ)性工作��,但評(píng)估的結(jié)果必須與風(fēng)險(xiǎn)管理的其他環(huán)節(jié)緊密結(jié)合���,特別是要具體指導(dǎo)風(fēng)險(xiǎn)應(yīng)對(duì)和風(fēng)險(xiǎn)監(jiān)控活動(dòng)����。由于電子文件風(fēng)險(xiǎn)管理剛剛起步�����,還沒(méi)有建立系統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制�����,無(wú)法真正實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估“有理可依��,有據(jù)可循”。
(三)電子文件管理停留在傳統(tǒng)安全保護(hù)階段。電子文件是檔案管理的特殊對(duì)象,一些檔案工作者沒(méi)有認(rèn)識(shí)到電子文件既是“檔案”又是“電子信息”的特點(diǎn)���,管理停留在傳統(tǒng)安全保護(hù)階段����,沒(méi)有采取先進(jìn)的風(fēng)險(xiǎn)管理方法���,給電子文件管理遺留下不少安全隱患���。一是管理過(guò)程缺乏全程性,認(rèn)為保護(hù)是電子文件歸檔后的任務(wù)��,沒(méi)有意識(shí)到電子文件形成和利用中存在的風(fēng)險(xiǎn)�����。二是安全管理停留在靜態(tài)��、被動(dòng)階段�����,沒(méi)有根據(jù)電子文件的發(fā)展和單位管理體系內(nèi)部情況的變化實(shí)施動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)���。三是大多數(shù)沒(méi)有積極引入遠(yuǎn)程技術(shù)����、異地備份����、云計(jì)算等先進(jìn)的技術(shù)加強(qiáng)電子文件安全管理。
(四)信息資產(chǎn)安全形勢(shì)嚴(yán)峻�����。信息資產(chǎn)的安全保護(hù)和開(kāi)發(fā)利用是提高辦學(xué)效益�����、提升影響力的重要途徑���。電子文件已經(jīng)逐步取代紙質(zhì)文件成為主要的檔案載體���,儲(chǔ)存著數(shù)量龐大的數(shù)據(jù)資產(chǎn)����、軟件資產(chǎn)����、師生信息��、科研資料等�。由于電子文件的特點(diǎn),信息資產(chǎn)存在著高風(fēng)險(xiǎn)性����,往往一被泄漏就失去資產(chǎn)包含的價(jià)值。許多資產(chǎn)管理者和檔案工作者低估信息資產(chǎn)的價(jià)值�����,忽視電子文件信息保護(hù)�����,導(dǎo)致信息資產(chǎn)安全面臨著嚴(yán)峻的形勢(shì)�����。
三�����、基于風(fēng)險(xiǎn)評(píng)估的電子文件安全管理體系
(一)以風(fēng)險(xiǎn)管理規(guī)劃完善安全管理體系����。風(fēng)險(xiǎn)管理規(guī)劃能夠?qū)﹄娮游募芾砉ぷ鬟M(jìn)行統(tǒng)籌規(guī)劃,有利于今后電子文件管理的持續(xù)�、有序、順利開(kāi)展���。應(yīng)根據(jù)電子文件管理的需要�,制訂電子文件風(fēng)險(xiǎn)規(guī)劃���,將電子文件安全管理的實(shí)施目標(biāo)�、構(gòu)建原則����、構(gòu)建方法、工作內(nèi)容建成一個(gè)基本框架���,進(jìn)而確立和完善電子文件安全管理體系���。
(二)以風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)規(guī)范安全管理策略����。電子文件安全管理策略就是針對(duì)電子文件安全管理的全局性�����、基礎(chǔ)性��、系統(tǒng)性問(wèn)題所制定的政策和措施�,是對(duì)電子文件安全管理的總體思路和指導(dǎo)方針。電子文件安全管理策略是否科學(xué)����、合理、適宜��,關(guān)系著電子文件管理目標(biāo)和任務(wù)能否順利實(shí)現(xiàn)�。風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)是電子文件風(fēng)險(xiǎn)評(píng)估的工具,直接決定了安全評(píng)估的結(jié)果�����,為風(fēng)險(xiǎn)管理的具體工作提供了操作性指導(dǎo)�����,因此也影響著電子文件安全管理策略的制定�����。電子文件風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的制定既要建立在國(guó)際組織和國(guó)家政府頒布的信息安全管理標(biāo)準(zhǔn)的基礎(chǔ)上���,又要結(jié)合電子文件信息安全的具體情況���,兼顧定性分析和定量分析的方法,從而達(dá)到對(duì)電子文件安全管理策略的戰(zhàn)略指導(dǎo)和操作規(guī)范����。
(三)以風(fēng)險(xiǎn)評(píng)估結(jié)果引導(dǎo)安全管理工作。電子文件風(fēng)險(xiǎn)評(píng)估之所以能夠發(fā)揮作用�����,最主要是評(píng)估的結(jié)果對(duì)整個(gè)風(fēng)險(xiǎn)管理工作的指導(dǎo)意義���。風(fēng)險(xiǎn)評(píng)估能夠初步識(shí)別出電子文件安全管理工作中的存在風(fēng)險(xiǎn)及造成因素�����,并根據(jù)風(fēng)險(xiǎn)因素的危害程度確定風(fēng)險(xiǎn)等級(jí)�����,提出應(yīng)對(duì)措施����,引導(dǎo)今后的管理工作。
(四)以風(fēng)險(xiǎn)應(yīng)對(duì)策略提升安全管理水平�。電子文件風(fēng)險(xiǎn)評(píng)估的根本目的是預(yù)測(cè)文件管理的危險(xiǎn)因素并采取有效的應(yīng)對(duì)策略,最大限度地減少各種風(fēng)險(xiǎn)因素造成的損失��。為了保證電子文件信息的保密性��、完整性����、真實(shí)性和可用性,電子文件風(fēng)險(xiǎn)應(yīng)對(duì)策略必須對(duì)信息資產(chǎn)管理����、文件管理和業(yè)務(wù)管理進(jìn)行統(tǒng)籌規(guī)劃,根據(jù)風(fēng)險(xiǎn)因素選擇采用風(fēng)險(xiǎn)預(yù)防�����、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移����、風(fēng)險(xiǎn)減輕或風(fēng)險(xiǎn)接受等五種基本策略應(yīng)對(duì)風(fēng)險(xiǎn)���。一個(gè)優(yōu)秀的電子文件安全管理體系能夠根據(jù)電子文件管理的需要采取風(fēng)險(xiǎn)應(yīng)對(duì)措施�,并在此基礎(chǔ)上改進(jìn)文件管理的方法����,通過(guò)風(fēng)險(xiǎn)應(yīng)對(duì)在實(shí)際上不斷提高文件管理體系的科學(xué)水平。
篇2
1.等級(jí)保護(hù)
1)主要內(nèi)容
等級(jí)保護(hù)是指導(dǎo)我國(guó)信息安全保障體系總體建設(shè)的基礎(chǔ)管理原則�,是圍繞信息安全保障全過(guò)程的一項(xiàng)基礎(chǔ)性管理制度,其核心內(nèi)容是對(duì)信息安全分等級(jí)���、按標(biāo)準(zhǔn)進(jìn)行建設(shè)�����、管理和監(jiān)督�。
2)優(yōu)點(diǎn)
等級(jí)保護(hù)適用于宏觀層面����,是一種大范圍“基線安全”�����,適用于行業(yè)主管部門對(duì)信息安全的總體把握與監(jiān)控���。
3)缺點(diǎn)
具體到某個(gè)組織的信息安全保護(hù)而言,等級(jí)保護(hù)的粒度劃分較粗���,在滿足組織對(duì)信息安全的精細(xì)控制要求方面還存在不足�����。因此��,在滿足監(jiān)管部門的等級(jí)保護(hù)要求之后�����,組織還可進(jìn)一步把等級(jí)細(xì)化到各種層次的安全域���,直至對(duì)一個(gè)個(gè)的信息資產(chǎn)進(jìn)行有效管理。
2.信息安全管理體系(ISMS)
1)主要內(nèi)容
類似于質(zhì)量之于ISO9000�����,ISMS是組織為提高信息安全管理水平,按照ISO27001的要求���,在整體或特定范圍內(nèi)監(jiān)理的信息安全方針和目標(biāo)��,以及完成這些目標(biāo)所用的方法和體系�。它是直接管理活動(dòng)的結(jié)果�,表示為方針�����、原則�、目標(biāo)、方法�����、計(jì)劃�、活動(dòng)、程序���、過(guò)程和資源的集合�����。
2)優(yōu)點(diǎn)
ISMS涉及了信息安全的11個(gè)領(lǐng)域�����,133個(gè)控制措施����,基本涵蓋了信息安全的方方面面,適用于各種類型的組織用來(lái)建立一個(gè)總體的安全控制框架;ISMS更注重于把“安全管理”當(dāng)作一種制度來(lái)建設(shè)����,通過(guò)建立統(tǒng)一的方針、策略�����,以及規(guī)范化安全規(guī)則���,使ISMS實(shí)施主體能有效地識(shí)別風(fēng)險(xiǎn)�,持續(xù)不斷地采取管控措施�,以把風(fēng)險(xiǎn)降低到組織可接受的程度。
3)缺點(diǎn)
它只是描述了建立ISMS的思想��、框架,但對(duì)如何建立ISMS并沒(méi)有一個(gè)詳細(xì)明確的定義����,也沒(méi)有描述ISMS的最終形態(tài);沒(méi)有確定建立信息安全體系的具體方法與技術(shù)。因此�����,ISMS對(duì)實(shí)施者來(lái)說(shuō)留下來(lái)很大的可操作空間�����,不同的組織和不同實(shí)施著對(duì)ISMS標(biāo)準(zhǔn)的把握可能差別很大����,ISMS總體水平也會(huì)有高下之分���。
3.風(fēng)險(xiǎn)評(píng)估
1)主要內(nèi)容
風(fēng)險(xiǎn)評(píng)估是獲知組織當(dāng)前風(fēng)險(xiǎn)水平的一種手段�����,在金融��、電子商務(wù)等許多領(lǐng)域都是有風(fēng)險(xiǎn)及風(fēng)險(xiǎn)評(píng)估需求的存在�����。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT安全領(lǐng)域時(shí)����,就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。
2)優(yōu)點(diǎn)
風(fēng)險(xiǎn)評(píng)估從早起簡(jiǎn)單的漏洞掃描�����、人工審計(jì)���、滲透性測(cè)試這種類型的純技術(shù)操作��,逐漸過(guò)渡到目前普遍采用ISO17799��、OCTAVE���、NIST SP800、NIST P800-26�����、NIST SP800-30、AS/NZS4360����、SSE-CMM等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)���、以威脅為觸發(fā)��、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型�。
國(guó)內(nèi)這幾年對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)展較快����,具體的評(píng)估方法也在不斷改進(jìn)。原國(guó)信辦2004年組織完成了《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》標(biāo)準(zhǔn)草案的制定���,并在其中規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程����、評(píng)估內(nèi)容�、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)測(cè)����,對(duì)規(guī)范我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的做法具有很好的指導(dǎo)意義。
3)缺點(diǎn)
《信息安全風(fēng)險(xiǎn)評(píng)估指南》所確定的風(fēng)險(xiǎn)評(píng)估方法還只是一個(gè)通用的方法論��,具體到一個(gè)特定的單位,要對(duì)其中的風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確地識(shí)別與量化仍熱是一件困難的事情��,在很大程度上要取決于評(píng)估者的經(jīng)驗(yàn)�。
篇3
關(guān)鍵詞:電子政務(wù) 信息安全
0 引言
隨著電子政務(wù)不斷推進(jìn),社會(huì)各階層對(duì)電子政務(wù)的依賴程度越來(lái)越高�����,信息安全的重要性日益突出�,在電子政務(wù)的信息安全管理問(wèn)題中,基于現(xiàn)實(shí)特點(diǎn)的電子政務(wù)信息安全體系設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估[1]模型是突出的熱點(diǎn)和難點(diǎn)問(wèn)題�����。本文試圖就這兩個(gè)問(wèn)題給出分析和建議����。
1 電子政務(wù)信息安全的總體要求
隨著電子政務(wù)應(yīng)用的不斷深入,信息安全問(wèn)題日益凸顯��,為了高效安全的進(jìn)行電子政務(wù)���,迫切需要搞好信息安全保障工作����。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全��,因此應(yīng)充分保證以下幾點(diǎn):
1.1 基礎(chǔ)設(shè)施的可用性:運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)����、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵�����,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)����、惡意入侵和破壞。
1.2 數(shù)據(jù)機(jī)密性:對(duì)于內(nèi)部網(wǎng)絡(luò)����,保密數(shù)據(jù)的泄密將直接帶來(lái)政府機(jī)構(gòu)以及國(guó)家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性��。
1.3 網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下����,只有經(jīng)過(guò)認(rèn)證的設(shè)備可以訪問(wèn)網(wǎng)絡(luò),并且能明確地限定其訪問(wèn)范圍��,這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全十分重要���。
1.4 數(shù)據(jù)備份與容災(zāi):任何的安全措施都無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失���,硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失�。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份��,并且最好是異地備份���。
2 電子政務(wù)信息安全體系模型設(shè)計(jì)
完整的電子政務(wù)安全保障體系從技術(shù)層面上來(lái)講�,必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上��,同時(shí)具有完備的安全管理機(jī)制���,并針對(duì)物理安全��,數(shù)據(jù)存儲(chǔ)安全���,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略
在技術(shù)支撐平臺(tái)方面��,核心是要解決好權(quán)限控制問(wèn)題��。為了解決授權(quán)訪問(wèn)的問(wèn)題�, 通常是將基于公鑰證書(PKC)的PKI(Public Key Infrastructure)與基于屬性證書(AC)的PMI(Privilege Management Infrastructure)結(jié)合起來(lái)進(jìn)行安全性設(shè)計(jì)�����,然而由于一個(gè)終端用戶可以有許多權(quán)限���, 許多用戶也可能有相同的權(quán)限集���, 這些權(quán)限都必須寫入屬性證書的屬性中, 這樣就增加了屬性證書的復(fù)雜性和存儲(chǔ)空間����, 從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問(wèn)題����,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型。該模型由客戶端�����、驗(yàn)證服務(wù)器�、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫(kù)和LDAP 目錄服務(wù)器等實(shí)體組成���,在該模型中:
2.1 終端用戶:向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求和證書�����, 并與服務(wù)器雙向驗(yàn)證����。
2.2 驗(yàn)證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問(wèn)控制���,是安全模型的關(guān)鍵部分�。
2.3 應(yīng)用服務(wù)器: 與資源數(shù)據(jù)庫(kù)連接�, 根據(jù)驗(yàn)證通過(guò)的用戶請(qǐng)求,對(duì)資源數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行處理���, 并把處理結(jié)果通過(guò)驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請(qǐng)求�����。
2.4 LDAP目錄服務(wù)器:該模型中采用兩個(gè)LDAP目錄服務(wù)器���, 一個(gè)存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL)�,另一個(gè)LDAP 目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL��。
安全管理策略也是電子政務(wù)安全體系的重要組成部分���。安全的核心實(shí)際上是管理��,安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段�����,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用��。需要制訂的制度包括安全行政管理和安全技術(shù)管理���。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí);安全技術(shù)管理的內(nèi)容包括對(duì)硬件實(shí)體和軟件系統(tǒng)�����、密鑰的管理�。
3 電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估
電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)安全�����、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度。等級(jí)保護(hù)工作的要點(diǎn)是對(duì)電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析���,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集。
3.1 信息系統(tǒng)的安全定級(jí) 信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)�����、指導(dǎo)保護(hù)級(jí)�、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)�、專控保護(hù)級(jí)五個(gè)安全等級(jí)���。對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義��,結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)�����、系統(tǒng)特定安全保護(hù)要求和成本開(kāi)銷等因素��,采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全�。
3.2 采用全面的風(fēng)險(xiǎn)評(píng)估辦法 風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IEC TR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子�,其他文獻(xiàn),例如NIST SP800-30�����、AS/NZS 4360等也介紹了風(fēng)險(xiǎn)評(píng)估的步驟及方法�,另外,一些組織還提出了自己的風(fēng)險(xiǎn)評(píng)估工具�����,例如OCTAVE����、CRAMM等。
電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評(píng)估方法可以參考ISO17799��、OCTAVE����、CSE、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)和指南�����,從資產(chǎn)評(píng)估、威脅評(píng)估�、脆弱性評(píng)估、安全措施有效性評(píng)估四個(gè)方面建立風(fēng)險(xiǎn)評(píng)估模型���。其中���,資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià),其估價(jià)準(zhǔn)則依賴于對(duì)其影響的分析��,主要從保密性��、完整性�����、可用性三方面進(jìn)行影響分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估�,主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估����,主要從脆弱性被利用的難易程度、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評(píng)估是對(duì)保障措施的有效性進(jìn)行的評(píng)估活動(dòng)���,主要對(duì)安全措施防范威脅����、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評(píng)估就是通過(guò)綜合分析評(píng)估后的資產(chǎn)信息、威脅信息���、脆弱性信息�、安全措施信息���,最終生成風(fēng)險(xiǎn)信息���。
在確定風(fēng)險(xiǎn)評(píng)估方法后,還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則�����,識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別��。
4 結(jié)語(yǔ)
電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別�����,包括:辦公手段不同����,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同���,實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同�,直接與公眾溝通是實(shí)施電子政務(wù)的目的之一,也是與傳統(tǒng)政務(wù)的重要區(qū)別����。在電子政務(wù)的信息安全管理中,要抓住其特點(diǎn)�����,從技術(shù)�、管理�����、策略角度設(shè)計(jì)完整的信息安全模型并通過(guò)科學(xué)量化的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案����,這樣才能達(dá)到全方位實(shí)施信息安全管理的目的。
參考文獻(xiàn):
[1]范紅���,馮國(guó)登�,吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用.清華大學(xué)出版社.2006.
篇4
隨著電子政務(wù)應(yīng)用的不斷深入,信息安全問(wèn)題日益凸顯���,為了高效安全的進(jìn)行電子政務(wù)����,迫切需要搞好信息安全保障工作����。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全����,因此應(yīng)充分保證以下幾點(diǎn):
1.1基礎(chǔ)設(shè)施的可用性:運(yùn)行于內(nèi)部專網(wǎng)的各主機(jī)、數(shù)據(jù)庫(kù)��、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵�,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)、惡意入侵和破壞�。
1.2數(shù)據(jù)機(jī)密性:對(duì)于內(nèi)部網(wǎng)絡(luò),保密數(shù)據(jù)的泄密將直接帶來(lái)政府機(jī)構(gòu)以及國(guó)家利益的損失���。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性���。
1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下��,只有經(jīng)過(guò)認(rèn)證的設(shè)備可以訪問(wèn)網(wǎng)絡(luò)�,并且能明確地限定其訪問(wèn)范圍���,這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全十分重要��。
1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失��,硬件故障��、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失�。因此�,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份,并且最好是異地備份�。
2電子政務(wù)信息安全體系模型設(shè)計(jì)
完整的電子政務(wù)安全保障體系從技術(shù)層面上來(lái)講,必須建立在一個(gè)強(qiáng)大的技術(shù)支撐平臺(tái)之上�,同時(shí)具有完備的安全管理機(jī)制����,并針對(duì)物理安全,數(shù)據(jù)存儲(chǔ)安全�����,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略
在技術(shù)支撐平臺(tái)方面,核心是要解決好權(quán)限控制問(wèn)題��。為了解決授權(quán)訪問(wèn)的問(wèn)題����,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結(jié)合起來(lái)進(jìn)行安全性設(shè)計(jì),然而由于一個(gè)終端用戶可以有許多權(quán)限���,許多用戶也可能有相同的權(quán)限集�����,這些權(quán)限都必須寫入屬性證書的屬性中����,這樣就增加了屬性證書的復(fù)雜性和存儲(chǔ)空間�,從而也增加了屬性證書的頒發(fā)和驗(yàn)證的復(fù)雜度。為了解決這個(gè)問(wèn)題���,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型�����。該模型由客戶端��、驗(yàn)證服務(wù)器�、應(yīng)用服務(wù)器、資源數(shù)據(jù)庫(kù)和LDAP目錄服務(wù)器等實(shí)體組成�����,在該模型中:
2.1終端用戶:向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求和證書��,并與服務(wù)器雙向驗(yàn)證���。
2.2驗(yàn)證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗(yàn)證模塊組成提供身份認(rèn)證和訪問(wèn)控制��,是安全模型的關(guān)鍵部分�。
2.3應(yīng)用服務(wù)器:與資源數(shù)據(jù)庫(kù)連接��,根據(jù)驗(yàn)證通過(guò)的用戶請(qǐng)求���,對(duì)資源數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行處理����,并把處理結(jié)果通過(guò)驗(yàn)證服務(wù)器返回給用戶以響應(yīng)用戶請(qǐng)求�。
2.4LDAP目錄服務(wù)器:該模型中采用兩個(gè)LDAP目錄服務(wù)器,一個(gè)存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL)�,另一個(gè)LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務(wù)安全體系的重要組成部分��。安全的核心實(shí)際上是管理���,安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段�����,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用�����。需要制訂的制度包括安全行政管理和安全技術(shù)管理���。安全行政管理應(yīng)包括組織機(jī)構(gòu)和責(zé)任制度等的制定和落實(shí);安全技術(shù)管理的內(nèi)容包括對(duì)硬件實(shí)體和軟件系統(tǒng)��、密鑰的管理���。
轉(zhuǎn)貼于中國(guó)論文下載中心www
3電子政務(wù)信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估
電子政務(wù)信息安全等級(jí)保護(hù)是根據(jù)電子政務(wù)系統(tǒng)在國(guó)家安全����、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和保護(hù)公共利益等方面的重要程度����。等級(jí)保護(hù)工作的要點(diǎn)是對(duì)電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)因素集��。
3.1信息系統(tǒng)的安全定級(jí)信息系統(tǒng)的安全等級(jí)從低到高依次包括自主保護(hù)級(jí)��、指導(dǎo)保護(hù)級(jí)��、監(jiān)督保護(hù)級(jí)���、強(qiáng)制保護(hù)級(jí)���、專控保護(hù)級(jí)五個(gè)安全等級(jí)�����。對(duì)電子政務(wù)的五個(gè)安全等級(jí)定義��,結(jié)合系統(tǒng)面臨的風(fēng)險(xiǎn)���、系統(tǒng)特定安全保護(hù)要求和成本開(kāi)銷等因素����,采取相應(yīng)的安全保護(hù)措施以保障信息和信息系統(tǒng)的安全��。
3.2采用全面的風(fēng)險(xiǎn)評(píng)估辦法風(fēng)險(xiǎn)評(píng)估具有不同的方法����。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子,其他文獻(xiàn)�,例如NISTSP800-30、AS/NZS4360等也介紹了風(fēng)險(xiǎn)評(píng)估的步驟及方法�����,另外����,一些組織還提出了自己的風(fēng)險(xiǎn)評(píng)估工具,例如OCTAVE���、CRAMM等�����。
電子政務(wù)信息安全建設(shè)中采用的風(fēng)險(xiǎn)評(píng)估方法可以參考ISO17799���、OCTAVE����、CSE��、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)和指南�,從資產(chǎn)評(píng)估、威脅評(píng)估��、脆弱性評(píng)估�����、安全措施有效性評(píng)估四個(gè)方面建立風(fēng)險(xiǎn)評(píng)估模型�����。其中����,資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià),其估價(jià)準(zhǔn)則依賴于對(duì)其影響的分析���,主要從保密性�����、完整性���、可用性三方面進(jìn)行影響分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性的評(píng)估,主要從威脅的能力和動(dòng)機(jī)兩個(gè)方面進(jìn)行分析;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估���,主要從脆弱性被利用的難易程度�、被成功利用后的嚴(yán)重性兩方面進(jìn)行分析;安全措施有效性評(píng)估是對(duì)保障措施的有效性進(jìn)行的評(píng)估活動(dòng)��,主要對(duì)安全措施防范威脅�、減少脆弱性的有效狀況進(jìn)行分析;安全風(fēng)險(xiǎn)評(píng)估就是通過(guò)綜合分析評(píng)估后的資產(chǎn)信息、威脅信息��、脆弱性信息����、安全措施信息,最終生成風(fēng)險(xiǎn)信息���。
在確定風(fēng)險(xiǎn)評(píng)估方法后�����,還應(yīng)確定接受風(fēng)險(xiǎn)的準(zhǔn)則��,識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別���。
4結(jié)語(yǔ)
電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別���,包括:辦公手段不同,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同���,實(shí)現(xiàn)行政業(yè)務(wù)流程的集約化����、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同��,直接與公眾溝通是實(shí)施電子政務(wù)的目的之一��,也是與傳統(tǒng)政務(wù)的重要區(qū)別���。在電子政務(wù)的信息安全管理中�����,要抓住其特點(diǎn)�,從技術(shù)、管理����、策略角度設(shè)計(jì)完整的信息安全模型并通過(guò)科學(xué)量化的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)和制定風(fēng)險(xiǎn)應(yīng)急預(yù)案,這樣才能達(dá)到全方位實(shí)施信息安全管理的目的��。
參考文獻(xiàn):
[1]范紅����,馮國(guó)登��,吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用.清華大學(xué)出版社.2006.
[2]李波杰��,張緒國(guó)���,張世永.一種多層取證的電子商務(wù)安全審計(jì)系統(tǒng)微型電腦應(yīng)用.2007年05期.
篇5
[關(guān)鍵詞]數(shù)字圖書館 信息安全管理 IS027000規(guī)范 評(píng)介
[分類號(hào)]G250.76
目前數(shù)字圖書館信息安全問(wèn)題的主要解決之道是依賴計(jì)算機(jī)和網(wǎng)絡(luò)安全等技術(shù)措施進(jìn)行防范保護(hù)���,雖然近幾年也有學(xué)者從人員管理、設(shè)備管理���、災(zāi)難恢復(fù)制度��、人員培訓(xùn)�����、法律法規(guī)等角度進(jìn)行探討���,但是數(shù)字圖書館信息安全領(lǐng)域“重技術(shù)�、輕管理”的現(xiàn)象非常明顯����,這與信息安全領(lǐng)域“三分技術(shù)、七分管理”的黃金定律是相違背的����。因此,如何在危機(jī)四伏的信息和網(wǎng)絡(luò)環(huán)境中�����,在技術(shù)水平不變的情況下依靠管理的改進(jìn)大幅度提升數(shù)字圖書館信息安全等級(jí)����,建立一套具有可操作性的管理體系標(biāo)準(zhǔn)以規(guī)范數(shù)字圖書館的信息安全管理過(guò)程,已成為當(dāng)前數(shù)字圖書館信息安全領(lǐng)域的重點(diǎn)課題�。
南京農(nóng)業(yè)大學(xué)信息學(xué)院黃水清教授的新作《數(shù)字圖書館信息安全管理》是基于其主持的國(guó)家社會(huì)科學(xué)基金課題完成的研究成果��,由南京大學(xué)出版社新近出版���。此書較好地回答了上述問(wèn)題,是國(guó)內(nèi)第一部系統(tǒng)闡述數(shù)字圖書館信息安全管理體系的論著���,填補(bǔ)了國(guó)內(nèi)該領(lǐng)域的空白���。作者在深入對(duì)比分析一系列國(guó)際信息安全管理標(biāo)準(zhǔn)和規(guī)范的基礎(chǔ)上,將在企業(yè)和政府機(jī)構(gòu)廣泛應(yīng)用的IS027000系列標(biāo)準(zhǔn)引入到數(shù)字圖書館信息安全管理領(lǐng)域���,并從理論和實(shí)踐兩個(gè)層面出發(fā)���,構(gòu)建了數(shù)字圖書館信息安全管理的理論體系和實(shí)踐防范體系��,對(duì)于推動(dòng)數(shù)字圖書館信息安全的研究與實(shí)踐具有十分重要的意義�。
黃水清教授指出:“數(shù)字圖書館信息安全即保持?jǐn)?shù)字圖書館各項(xiàng)信息的保密性、完整性和可用性�����,使得數(shù)字圖書館傳遞給用戶的信息具有真實(shí)性�、可核查性����、抗抵賴和可靠性����。其中,保密性�����、完整性和可用性是數(shù)字圖書館信息安全的完整體系和內(nèi)核���,真實(shí)性���、可核查性、抗抵賴和可靠性是數(shù)字圖書館提供給用戶的信息服務(wù)的質(zhì)量標(biāo)準(zhǔn)��?!痹摃乃醒芯烤o緊圍繞這一定義展開(kāi),從標(biāo)準(zhǔn)選擇��、方法選取�����、模板制定、實(shí)踐驗(yàn)證4個(gè)部分進(jìn)行研究�、探索和實(shí)踐。
與信息安全領(lǐng)域的其他國(guó)際標(biāo)準(zhǔn)規(guī)范相比較�����,IS027000是一個(gè)通用的��、普適性的信息安全管理標(biāo)準(zhǔn)族��,核心是IS027001和IS027002���,分別描述了組織信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的方法和流程����,適用于任何規(guī)模和行業(yè)的組織��。將IS027000采用的策劃一實(shí)施一檢查一措施(PDCA)過(guò)程模式應(yīng)用于數(shù)字圖書館�,可以確保數(shù)字圖書館的安全管理實(shí)踐持續(xù)地被文檔化���、加強(qiáng)和改進(jìn)�。而數(shù)字圖書館的業(yè)務(wù)流程具有趨同性��,與IS027000從業(yè)務(wù)流程人手進(jìn)行資產(chǎn)、威脅�����、脆弱性識(shí)別以保障風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制過(guò)程的要求相一致����。同時(shí),IS027000的控制措施涵蓋了信息安全風(fēng)險(xiǎn)控制的各種可能���,數(shù)字圖書館的信息安全風(fēng)險(xiǎn)控制措施只需根據(jù)其行業(yè)特點(diǎn)從中選取即可���。通過(guò)比較,作者確定IS027000是適用于數(shù)字圖書館信息安全管理的最佳依從標(biāo)準(zhǔn)���,能夠用于指導(dǎo)建立數(shù)字圖書館領(lǐng)域的信息安全管理體系���,并且,可以通過(guò)制定數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制模板的方式減少具體實(shí)施過(guò)程中的難度與成本����。
《數(shù)字圖書館信息安全管理》一書在第四章和第五章著力闡述了數(shù)字圖書館信息安全管理方法的選取問(wèn)題。信息安全管理包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制兩大過(guò)程,兩大過(guò)程整體遵循PDCA的過(guò)程模式����,不斷循環(huán)評(píng)估~控制一再評(píng)估的過(guò)程。其中����,風(fēng)險(xiǎn)評(píng)估模型主要包括資產(chǎn)、威脅和脆弱性三大要素����,作者分別用模糊數(shù)學(xué)、構(gòu)建威脅場(chǎng)景和通用缺陷評(píng)估系統(tǒng)(CVSS)的方法構(gòu)建了數(shù)字圖書館的資產(chǎn)價(jià)值評(píng)估模型�����、威脅等級(jí)識(shí)別模型和脆弱性等級(jí)識(shí)別模型��,然后以IS027005中的風(fēng)險(xiǎn)矩陣模型的一種變形為基礎(chǔ)����,綜合三個(gè)子模型,得到數(shù)字圖書館的風(fēng)險(xiǎn)評(píng)估模型���。風(fēng)險(xiǎn)控制模型主要包括資產(chǎn)��、業(yè)務(wù)和控制措施三大要素��,作者提出基于投資約束和風(fēng)險(xiǎn)防范策略的風(fēng)險(xiǎn)控制決策模型��,將資產(chǎn)���、威脅、脆弱性與資產(chǎn)����、業(yè)務(wù)、控制措施兩個(gè)坐標(biāo)體系聯(lián)動(dòng)�。該風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制模型是本書數(shù)字圖書館信息安全管理研究的方法論。
數(shù)字圖書館是一種具有相同或高度相似的業(yè)務(wù)流程的特殊組織�。作者選取了全國(guó)30家數(shù)字圖書館作為調(diào)查對(duì)象,通過(guò)調(diào)查總結(jié)得出數(shù)字圖書館的業(yè)務(wù)流程�����。以此為基礎(chǔ)��,分別就資產(chǎn)����、威脅和脆弱性的識(shí)別與估值問(wèn)題展開(kāi)多次深入調(diào)查�,并采用上述風(fēng)險(xiǎn)評(píng)估模型進(jìn)行計(jì)算和分析�,提出風(fēng)險(xiǎn)等級(jí)劃分方法,形成了數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估的模板���。另外�����,通過(guò)調(diào)查���、訪談等方式,作者從IS027002中總結(jié)分析得到適用于數(shù)字圖書館信息安全的控制措施集合����,并根據(jù)風(fēng)險(xiǎn)控制模型的計(jì)算和分析,構(gòu)建了數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制的模板�。數(shù)字圖書館風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制模板的制定過(guò)程是數(shù)字圖書館信息安全管理體系建立和實(shí)施的全過(guò)程,但是模板的形成降低了風(fēng)險(xiǎn)管理的難度���、提高了工作效率����,這就達(dá)到了本書的研究目標(biāo):大多數(shù)數(shù)字圖書館可以采取查詢資產(chǎn)報(bào)表的方式評(píng)估組織各項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)等級(jí)并采取有效措施��。
篇6
【 關(guān)鍵詞 】 內(nèi)蒙古電力公司信息系統(tǒng);信息安全����;風(fēng)險(xiǎn)評(píng)估�����;探索與思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co.���, Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co.���, Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co.����, Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides����, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co.�, Ltd.; information security�����; risk assessment; exploration and inspiration
1 引言
目前����,電力行業(yè)信息安全的研究只停留于網(wǎng)絡(luò)安全防御框架與防御技術(shù)的應(yīng)用層面,缺少安全評(píng)估方法與模型研究���。文獻(xiàn)[1]-[3]只初步分析了信息安全防護(hù)體系的構(gòu)架與策略��,文獻(xiàn)[4]����、[5]研究了由防火墻���、VPN���、PKI和防病毒等多種技術(shù)構(gòu)建的層次式信息安全防護(hù)體系。這些成果都局限于單純的信息安全保障技術(shù)的改進(jìn)與應(yīng)用�����。少數(shù)文獻(xiàn)對(duì)電力信息安全評(píng)估模型進(jìn)行了討論���,但對(duì)于安全風(fēng)險(xiǎn)評(píng)估模型的研究都不夠深入�����。文獻(xiàn)[6]�、文獻(xiàn)[7]只定性指出了安全風(fēng)險(xiǎn)分析需要考慮的內(nèi)容;文獻(xiàn)[8]討論了一種基于模糊數(shù)學(xué)的電力信息安全評(píng)估模型��,這種模型本質(zhì)上依賴于專家的經(jīng)驗(yàn)�,帶有主觀性���;文獻(xiàn)[9]只提出了一種電力信息系統(tǒng)安全設(shè)計(jì)的建模語(yǔ)言和定量化評(píng)估方法��,但是并未對(duì)安全風(fēng)險(xiǎn)的評(píng)估模型進(jìn)行具體分析�����。
本文介紹了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的相關(guān)工作�����,并探討了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作在推動(dòng)行業(yè)信息安全保護(hù)方面帶給我們的啟示�。
2 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評(píng)估工作
隨著電網(wǎng)規(guī)模的日益擴(kuò)大�����,內(nèi)蒙古電力信息系統(tǒng)日益復(fù)雜,電網(wǎng)運(yùn)行對(duì)信息系統(tǒng)的依賴性不斷增加����,對(duì)電力系統(tǒng)信息安全的要求也越來(lái)越高。因此��,在電力行業(yè)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作��,研究電力信息安全問(wèn)題�����,顯得尤為必要�。
根據(jù)國(guó)家關(guān)于信息安全的相關(guān)標(biāo)準(zhǔn)與政策,并根據(jù)實(shí)際業(yè)務(wù)情況��,內(nèi)蒙古電力公司委托北京數(shù)字認(rèn)證股份有限公司(BJCA)對(duì)信息系統(tǒng)進(jìn)行了有效的信息安全風(fēng)險(xiǎn)評(píng)估工作�。評(píng)估的內(nèi)容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性兩個(gè)方面,以解決電力信息系統(tǒng)面臨的的安全風(fēng)險(xiǎn)��。
3 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的解決方案
通過(guò)對(duì)內(nèi)蒙古電力信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作�����,我們可以總結(jié)出電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的解決方案。
4 電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的流程
電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的一般流程�����。
(1) 前期準(zhǔn)備階段�。本階段為風(fēng)險(xiǎn)評(píng)估實(shí)施之前的必需準(zhǔn)備工作,包括對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行規(guī)劃����、確定評(píng)估團(tuán)隊(duì)組成、明確風(fēng)險(xiǎn)評(píng)估范圍�����、準(zhǔn)備調(diào)查資料等��。
(2) 現(xiàn)場(chǎng)調(diào)查階段:實(shí)施人員對(duì)評(píng)估信息系統(tǒng)進(jìn)行詳細(xì)調(diào)查���,收集數(shù)據(jù)信息,包括信息系統(tǒng)資產(chǎn)組成�����、系統(tǒng)資產(chǎn)脆弱點(diǎn)��、組織管理脆弱點(diǎn)、威脅因素等�。
(3) 風(fēng)險(xiǎn)分析階段:根據(jù)現(xiàn)場(chǎng)調(diào)查階段獲得的相關(guān)數(shù)據(jù),選擇適當(dāng)?shù)姆治龇椒▽?duì)目標(biāo)信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行綜合分析���。
(4) 策略制定階段:根據(jù)風(fēng)險(xiǎn)分析結(jié)果����,結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略�����,包括安全管理策略�����、安全運(yùn)行策略和安全體系規(guī)劃�。
5 數(shù)據(jù)采集
在風(fēng)險(xiǎn)評(píng)估實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類。
(1) 調(diào)查表格�����。根據(jù)一定的采集目的而專門設(shè)計(jì)的表格��,根據(jù)調(diào)查內(nèi)容、調(diào)查對(duì)象�、調(diào)查方式、工作計(jì)劃的安排而設(shè)計(jì)��。常用的調(diào)查表有資產(chǎn)調(diào)查表��、安全威脅調(diào)查表�、安全需求調(diào)查表、安全策略調(diào)查表等��。
(2) 技術(shù)分析工具��。常用的是一些系統(tǒng)脆弱性分析工具�。通過(guò)技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性,并確認(rèn)已有安全技術(shù)措施是否發(fā)揮作用���。
(3) 信息系統(tǒng)資料�����。風(fēng)險(xiǎn)評(píng)估還需要通過(guò)查閱、分析��、整理信息系統(tǒng)相關(guān)資料來(lái)收集相關(guān)資料�。如:系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄�、事故處理記錄、升級(jí)記錄�、管理制度等。
a) 分析方法
風(fēng)險(xiǎn)評(píng)估的關(guān)鍵在于根據(jù)所收集的資料����,采取一定的分析方法,得出信息系統(tǒng)安全風(fēng)險(xiǎn)的結(jié)論�,因此,分析方法的正確選擇是風(fēng)險(xiǎn)評(píng)估的核心����。
結(jié)合內(nèi)蒙電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作的實(shí)踐,我們認(rèn)為電力行業(yè)信息安全風(fēng)險(xiǎn)分析的方法可以分為三類����。
定量分析方法是指運(yùn)用數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估,在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀風(fēng)險(xiǎn)值���,典型的定量分析方法有因子分析法����、聚類分析法���、時(shí)序模型�����、回歸模型����、等風(fēng)險(xiǎn)圖法等。
定性分析方法主要依據(jù)評(píng)估者的知識(shí)�����、經(jīng)驗(yàn)�����、歷史教訓(xùn)�����、政策走向及特殊案例等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過(guò)程��。在實(shí)踐中���,可以通過(guò)調(diào)查表和合作討論會(huì)的形式進(jìn)行風(fēng)險(xiǎn)分析���,分析活動(dòng)會(huì)涉及來(lái)自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個(gè)部門的人員。
綜合分析方法中的安全風(fēng)險(xiǎn)管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)����。在某些情況下會(huì)要求采用定量方法,而在其他情況下定性的評(píng)估方法更能滿足組織需求�。
表1概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn)。
b) 質(zhì)量保證
鑒于風(fēng)險(xiǎn)評(píng)估項(xiàng)目具有一定的復(fù)雜性和主觀性��,只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理����,才能保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目的最終質(zhì)量。風(fēng)險(xiǎn)評(píng)估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對(duì)整體項(xiàng)目的可控性�,質(zhì)量保障活動(dòng)需要在評(píng)估項(xiàng)目實(shí)施中提供足夠的可見(jiàn)性,確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行���。在內(nèi)蒙古電力風(fēng)險(xiǎn)評(píng)估的實(shí)踐中�,設(shè)立質(zhì)量監(jiān)督員(或聘請(qǐng)獨(dú)立的項(xiàng)目監(jiān)理?yè)?dān)任)是一個(gè)有效的方法�����。質(zhì)量監(jiān)督員依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn)�����,通過(guò)記錄審核、流程監(jiān)理�����、組織評(píng)審�、異常報(bào)告等方式對(duì)項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制�。
6 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評(píng)估的啟示
為了更好地開(kāi)展風(fēng)險(xiǎn)評(píng)估工作,可以采取以下安全措施及管理辦法�。
6.1 建立定期風(fēng)險(xiǎn)評(píng)估制度
信息安全風(fēng)險(xiǎn)管理是發(fā)達(dá)國(guó)家信息安全保障工作的通行做法。按照風(fēng)險(xiǎn)管理制度��,適時(shí)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作��,或建立風(fēng)險(xiǎn)評(píng)估的長(zhǎng)效機(jī)制�,將風(fēng)險(xiǎn)評(píng)估工作與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來(lái),讓風(fēng)險(xiǎn)評(píng)估成為信息安全保障工作運(yùn)行機(jī)制的基石��。
6.2 編制電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則
由于所有的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)給出的都是指導(dǎo)性文件���,并沒(méi)有給出具體實(shí)施過(guò)程��、風(fēng)險(xiǎn)要素識(shí)別方法����、風(fēng)險(xiǎn)分析方法�、風(fēng)險(xiǎn)計(jì)算方法、風(fēng)險(xiǎn)定級(jí)方法等����,因此建議在國(guó)標(biāo)《信息安全風(fēng)險(xiǎn)評(píng)估指南》的框架下,編制適合電力公司業(yè)務(wù)特色的實(shí)施細(xì)則�����,根據(jù)選用的或自定義的風(fēng)險(xiǎn)計(jì)算方法���,�,制各種模板��,以在電力信息系統(tǒng)實(shí)現(xiàn)評(píng)估過(guò)程和方法的統(tǒng)一����。
6.3 加強(qiáng)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)設(shè)施建設(shè),統(tǒng)一選配風(fēng)險(xiǎn)評(píng)估工具
風(fēng)險(xiǎn)評(píng)估工具是保障風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的重要因素�。應(yīng)根據(jù)選用的評(píng)估標(biāo)準(zhǔn)和評(píng)估方法,選擇配套的專業(yè)風(fēng)險(xiǎn)評(píng)估工具�,向分支機(jī)構(gòu)配發(fā)或推薦��。如漏洞掃描��、滲透測(cè)試等評(píng)估輔助工具��,及向評(píng)估人員提供幫助的資產(chǎn)分類庫(kù)�、威脅參考庫(kù)����、脆弱性參考庫(kù)、可能性定義庫(kù)�、算法庫(kù)等評(píng)估輔助專家系統(tǒng)。
6.4 統(tǒng)一組織實(shí)施核心業(yè)務(wù)系統(tǒng)的評(píng)估
由于評(píng)估過(guò)程本身的風(fēng)險(xiǎn)性����,對(duì)于重要的實(shí)時(shí)性強(qiáng)、社會(huì)影響大的核心業(yè)務(wù)系統(tǒng)的評(píng)估��,由電力公司統(tǒng)一制定評(píng)估方案�����、組織實(shí)施���、指導(dǎo)加固整改工作�。
6.5 以自評(píng)估為主,自評(píng)估和檢查評(píng)估相結(jié)合
自評(píng)估和檢查評(píng)估各有優(yōu)缺點(diǎn)���,要發(fā)揮各自優(yōu)勢(shì)��,配合實(shí)施,使評(píng)估的過(guò)程���、方法和風(fēng)險(xiǎn)控制措施更科學(xué)合理���。自評(píng)估時(shí),通過(guò)對(duì)實(shí)施過(guò)程���、風(fēng)險(xiǎn)要素識(shí)別����、風(fēng)險(xiǎn)分析�����、風(fēng)險(xiǎn)計(jì)算方法����、評(píng)估結(jié)果�、風(fēng)險(xiǎn)控制措施等重要環(huán)節(jié)的科學(xué)性��、合理性進(jìn)行分析����,得出風(fēng)險(xiǎn)判斷。
6.6 風(fēng)險(xiǎn)評(píng)估與信息系統(tǒng)等級(jí)保護(hù)應(yīng)結(jié)合起來(lái)
信息系統(tǒng)等級(jí)保護(hù)若與風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái)���,則可相互促進(jìn)��,相互依托�����。等級(jí)保護(hù)的級(jí)別是依據(jù)系統(tǒng)的重要程度和安全三性來(lái)定義�����,而風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)則是綜合考慮了信息的重要性�、安全三性����、現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合結(jié)果。通過(guò)風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定安全等級(jí)提供依據(jù)。確定安全等級(jí)后����,根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果作為實(shí)施等級(jí)保護(hù)、安全等級(jí)建設(shè)的出發(fā)點(diǎn)和參考���,檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求���。
參考文獻(xiàn)
[1] 魏曉菁����, 柳英楠, 來(lái)風(fēng)剛. 國(guó)家電力信息網(wǎng)信息安全防護(hù)體系框架與策略. 計(jì)算機(jī)安全���,2004���,6.
[2] 魏曉菁,柳英楠��,來(lái)風(fēng)剛. 國(guó)家電力信息網(wǎng)信息安全防護(hù)體系框架與策略研究. 電力信息化��,2004�����,2(1).
[3] 沈亮. 構(gòu)建電力信息網(wǎng)安全防護(hù)框架. 電力信息化,2004�����,2(7).
[4] 梁運(yùn)華�����,李明�����,談順濤. 電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全層次式防護(hù)體系探究. 電力信息化����,2003,2(1).
[5] 周亮��,劉開(kāi)培����,李俊娥. 一種安全的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建方案. 電網(wǎng)技術(shù),2004�����,28(23).
[6] 陳其,陳鐵�����,姚林等. 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估策略研究. 計(jì)算機(jī)安全���,2007����,6.
[7] 阮文峰. 電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)分析和評(píng)估. 計(jì)算機(jī)安全��,2003(4).
[8] 叢林�����,李志民���,潘明惠等. 基于模糊綜合評(píng)判法的電力系統(tǒng)信息安全評(píng)估. 電力系統(tǒng)自動(dòng)化,2004���,28(12).
[9] 胡炎��,謝小榮����,辛耀中. 電力信息系統(tǒng)建模和定量安全評(píng)估. 電力系統(tǒng)自動(dòng)化,2005�,29(10).
作者簡(jiǎn)介:
篇7
在對(duì)企業(yè)進(jìn)行職業(yè)病危害現(xiàn)狀評(píng)價(jià)的過(guò)程中,目前大都采用的主要是以檢查表法為主���,結(jié)合現(xiàn)場(chǎng)的職業(yè)病危害因素的檢測(cè)情況進(jìn)行評(píng)價(jià)�����,但這種方法只能對(duì)職業(yè)病危害因素的情況進(jìn)行簡(jiǎn)單的總結(jié)和分類�,分為“合格”或“不合格”����,無(wú)法對(duì)目前企業(yè)職業(yè)病危害風(fēng)險(xiǎn)做出精確的評(píng)估。國(guó)內(nèi)的相關(guān)研究將美國(guó)道化學(xué)公司的火災(zāi)爆炸指數(shù)法�,英國(guó)帝國(guó)化學(xué)公司蒙德工廠的蒙德評(píng)估法,日本的六階段風(fēng)險(xiǎn)評(píng)估法等國(guó)外的風(fēng)險(xiǎn)評(píng)估模型應(yīng)用到職業(yè)衛(wèi)生評(píng)價(jià)工作中���,雖然這些方法能夠減少評(píng)估的主觀性����,使評(píng)價(jià)準(zhǔn)確度提高,但職業(yè)病危害評(píng)價(jià)工作和安全評(píng)價(jià)工作有著明顯的不同��,同時(shí)這些理論或多或少在實(shí)踐中存在著一定的缺陷��,可操作性不強(qiáng)����。
在職業(yè)衛(wèi)生現(xiàn)狀評(píng)價(jià)過(guò)程中,通過(guò)對(duì)企業(yè)現(xiàn)場(chǎng)職業(yè)病危害因素的識(shí)別���,結(jié)合工藝流程��、生產(chǎn)情況和勞動(dòng)定員的調(diào)查����,評(píng)價(jià)人員需要綜合考慮職業(yè)危害的可能性(接觸時(shí)間和接觸強(qiáng)度)��、危害的嚴(yán)重性(健康效應(yīng))以及接觸人數(shù)和防護(hù)措施的情況�。我國(guó)相關(guān)學(xué)者在參考英國(guó)職業(yè)健康安全管理體系和美國(guó)職業(yè)接觸的評(píng)估和管理策略的基礎(chǔ)上��,結(jié)合自身的實(shí)際特點(diǎn)�,建立了工作場(chǎng)所職業(yè)健康風(fēng)險(xiǎn)評(píng)估公式:風(fēng)險(xiǎn)指數(shù)=2健康效應(yīng)等級(jí)×2暴露比值×作業(yè)條件等級(jí),其中健康效應(yīng)等級(jí)劃分標(biāo)準(zhǔn)見(jiàn)表1;暴露比值=平均實(shí)測(cè)值/職業(yè)接觸限值;作業(yè)條件等級(jí)=(暴露時(shí)間等級(jí)×暴露人數(shù)等級(jí)×工程防護(hù)措施等級(jí)×個(gè)體防護(hù)措施等級(jí))1/4�����,等式右邊各項(xiàng)劃分標(biāo)準(zhǔn)見(jiàn)表2。職業(yè)危害風(fēng)險(xiǎn)指數(shù)大小劃分為5級(jí)�����,分別是無(wú)危害(~6)����、輕度危害(~11)、中毒危害(~23)�����、高度危害(~80)和極度危害(>80)���。企業(yè)現(xiàn)場(chǎng)職業(yè)危害風(fēng)險(xiǎn)級(jí)別以風(fēng)險(xiǎn)指數(shù)最高的為準(zhǔn)�����。
職業(yè)病危害現(xiàn)狀評(píng)價(jià)中抵消風(fēng)險(xiǎn)因素
風(fēng)險(xiǎn)抵消因素是通過(guò)防護(hù)設(shè)施�����、管理手段等減輕危害的因素�����,即企業(yè)的職業(yè)衛(wèi)生管理�����。
結(jié)合國(guó)內(nèi)相關(guān)學(xué)者在廣州市制定的企業(yè)職業(yè)衛(wèi)生管理質(zhì)量評(píng)分體系��,對(duì)企業(yè)職業(yè)衛(wèi)生管理的現(xiàn)狀進(jìn)行評(píng)價(jià)�����。企業(yè)職業(yè)衛(wèi)生管理質(zhì)量評(píng)分體系�����,初步擬定為組織管理����、預(yù)防措施、監(jiān)督檢測(cè)和健康監(jiān)護(hù)4類共18項(xiàng)����,采用的是層次分析法(analytichierarchyprocess)確定因素的權(quán)重�����。通過(guò)計(jì)算權(quán)重對(duì)企業(yè)的職業(yè)衛(wèi)生管理進(jìn)行分級(jí),以0.6��、0.7�、0.8和0.9為界將職業(yè)衛(wèi)生管理質(zhì)量劃分為不及格、及格��、一般����、良好、優(yōu)秀5組��,見(jiàn)表3�����。
職業(yè)病危害現(xiàn)狀風(fēng)險(xiǎn)綜合評(píng)估
以職業(yè)病危害現(xiàn)狀評(píng)價(jià)中固有風(fēng)險(xiǎn)因素的分級(jí)作為橫坐標(biāo)���,分別是無(wú)危害(~6)���、輕度危害(~11)、中毒危害(~23)、高度危害(~80)和極度危害(>80);職業(yè)病危害現(xiàn)狀評(píng)價(jià)中抵消風(fēng)險(xiǎn)因素的分級(jí)作為縱坐標(biāo)��,不及格���、及格�、一般�����、良好�、優(yōu)秀5組,建立職業(yè)病危害現(xiàn)狀評(píng)價(jià)分級(jí)綜合判斷表���,見(jiàn)表4���。表中A代表輕微危害;B代表一般危害;C代表較嚴(yán)重危害;D代表嚴(yán)重危害。
結(jié)語(yǔ)
篇8
【關(guān)鍵詞】繼電保護(hù);可靠性;失效事件
1.引言
隨著經(jīng)濟(jì)和科技的蓬勃發(fā)展��,我國(guó)電力系統(tǒng)的應(yīng)用也越來(lái)越廣泛�,復(fù)雜的電網(wǎng)系統(tǒng)也變得越來(lái)越重要,繼電保護(hù)作為電網(wǎng)系統(tǒng)的第一道防線��,其重要性不言而喻���。繼電保護(hù)裝置的功能是區(qū)分被保護(hù)元件是正常運(yùn)行還是發(fā)生了故障�����,故障是在保護(hù)區(qū)內(nèi)還是在保護(hù)區(qū)外����,所以如果不對(duì)繼電保護(hù)的可靠性和風(fēng)險(xiǎn)性進(jìn)行研究�,就無(wú)法及時(shí)發(fā)現(xiàn)繼電保護(hù)裝置的隱患,可能會(huì)導(dǎo)致電網(wǎng)發(fā)生意外故障���,引起一系列事故發(fā)生�。
2.繼電保護(hù)裝置
在國(guó)內(nèi)�����,關(guān)于電力系統(tǒng)可靠性的研究主要經(jīng)過(guò)了確定性評(píng)估��、概率評(píng)估和風(fēng)險(xiǎn)評(píng)估三個(gè)階段�����。確定性評(píng)估一般是研究最重大的事故����,如“N-1”安全分析���,略顯保守;概率評(píng)估是研究了故障發(fā)生的幾率,但不考慮其后果;風(fēng)險(xiǎn)評(píng)估則綜合了發(fā)生故障的概率和產(chǎn)生的后果���。在正常運(yùn)行電網(wǎng)時(shí)�,沒(méi)有失誤波動(dòng)�����,沒(méi)有錯(cuò)誤操作��,這就是繼電保護(hù)裝置的可靠性�����。為了能精準(zhǔn)的做出關(guān)于繼電保護(hù)的風(fēng)險(xiǎn)評(píng)估���,應(yīng)當(dāng)首先分析它的原理��。
2.1 繼電保護(hù)裝置的可靠性
繼電保護(hù)裝置是可修復(fù)的��,其可靠性的特點(diǎn)有以下幾點(diǎn):
(1)由于繼電保護(hù)工作的環(huán)境和其自身狀況的變動(dòng)性����,繼電保護(hù)裝置的可靠度和發(fā)生失效的時(shí)間有一定的幾率性和隨機(jī)性;
(2)繼電保護(hù)裝置的可靠性包含的因素太多。除了保護(hù)裝置���,還有關(guān)系很密切的一次設(shè)備��、系統(tǒng)通訊的運(yùn)行和一些人為因素;電網(wǎng)的保護(hù)設(shè)計(jì)的原理、實(shí)際的運(yùn)行方式和它的整定��、配置方式都對(duì)電網(wǎng)的繼電保護(hù)裝置有著極大的影響��,各種復(fù)制的軟件設(shè)備和硬件又涵蓋了電網(wǎng)的各個(gè)方面�����。所以�����,從軟件設(shè)備方面會(huì)有很多不穩(wěn)定的物理因素像軟件的設(shè)計(jì)����、系統(tǒng)的輸入和使用都會(huì)影響繼電保護(hù)的可靠性;在硬件方面,繼電保護(hù)的可靠性更多的是要看每個(gè)基礎(chǔ)設(shè)施和電路的設(shè)計(jì)方式是否可靠;
(3)繼電保護(hù)裝置的失效分成拒動(dòng)失效和誤動(dòng)失效�����,這兩種失效又可以分成不可以被檢測(cè)可可以被檢測(cè)兩種,在制定可靠性的一些指標(biāo)時(shí)需要將兩種情況綜合在一起來(lái)考慮�����。
2.2 繼電保護(hù)裝置可靠性的影響因素
繼電保護(hù)裝置的可靠性和許多因素有關(guān)����,如:
(1)繼電保護(hù)裝置基本上都是由電子設(shè)備和軟件組成的,電子設(shè)備老化或損壞會(huì)直接影響保護(hù)裝置;其運(yùn)行水平和環(huán)境的干擾等也會(huì)影響到繼電保護(hù)裝置的可靠性;
(2)保護(hù)裝置的平臺(tái)是硬件��,實(shí)行保護(hù)功能的核心是軟件�,因此軟件的可靠性也顯得極為重要;
(3)C、PT等互感器和斷路器通過(guò)傳變輸入量和執(zhí)行輸出直接影響繼電保護(hù)裝置;
(4)二次回路然的絕緣老化和線路等原因?qū)е略B接的接觸不良或者松動(dòng)都會(huì)給被保護(hù)的元件帶來(lái)不利影響���。全數(shù)字化的保護(hù)系統(tǒng)通過(guò)用高速網(wǎng)絡(luò)通信來(lái)取代二次電纜�����,因?yàn)槎位芈纺軌蜃晕冶O(jiān)測(cè);
(5)繼電保護(hù)定值是離線整定在繼電保護(hù)裝置中的重要因素�。常規(guī)的繼電保護(hù)裝置是通過(guò)離線計(jì)算其定值并穩(wěn)定在運(yùn)行中���?����?墒请娋W(wǎng)結(jié)構(gòu)越來(lái)越復(fù)雜,在整定計(jì)算時(shí)得到的返回系數(shù)等數(shù)值運(yùn)算復(fù)雜、運(yùn)算時(shí)間過(guò)長(zhǎng)�,會(huì)影響被保護(hù)元件的應(yīng)能�,因此為了能有效克服離線定值的缺點(diǎn),保護(hù)在線整定的定值顯得有越重要。
2.3 繼電保護(hù)的可靠性評(píng)價(jià)模型
在對(duì)繼電保護(hù)裝置進(jìn)行關(guān)于可靠性的評(píng)估時(shí)����,可以采用的模型有模擬和解析兩種方法�����。解析法是根據(jù)元件的功能����、裝置的結(jié)構(gòu)還有兩者在邏輯上的關(guān)系��,來(lái)建立一種可靠性的概率形式��,分析模型可以用遞推的方式或者迭代的方式��,計(jì)算從系統(tǒng)得出的可靠性的指標(biāo)��。它的優(yōu)點(diǎn)有精準(zhǔn)度搞、概念清晰明了����,缺點(diǎn)是他的計(jì)算量會(huì)因?yàn)橄到y(tǒng)數(shù)據(jù)規(guī)模的增大而增大。而模擬法則是利用概率分布圖來(lái)采樣選擇和評(píng)估���,從統(tǒng)計(jì)學(xué)的角度得到關(guān)于裝置可靠性的數(shù)據(jù)�����。模擬法的優(yōu)點(diǎn)是較為直觀��,清晰明了����,缺點(diǎn)就是計(jì)算時(shí)間長(zhǎng)�����,和需要極高的精準(zhǔn)度��。在目前關(guān)于繼電保護(hù)裝置可靠性的評(píng)估中最常采用的是解析法�����,比如Markov模型法和故障樹法。故障樹法從裝置故障的模式出發(fā)����,用瞬間照相對(duì)故障進(jìn)行分析推理,一般來(lái)說(shuō)是先算出最小的割集�,再通過(guò)使用最小的割集概率來(lái)計(jì)算出裝置發(fā)生事故的幾率。由于故障樹法在使用方法上的不足��,本文主要研究了GO法的應(yīng)用��,GO法運(yùn)算分析過(guò)程(如圖1所示)���。和傳統(tǒng)的解析法不同的是�����,GO法的出發(fā)點(diǎn)是裝置結(jié)構(gòu)圖,更能清楚地反映裝置和元件之間的聯(lián)系����。
圖1 GO運(yùn)行分析過(guò)程
2.4 提高繼電保護(hù)可靠性的方法
(1)增強(qiáng)排除故障的能力:模擬事故的解決方法,提升繼電保護(hù)裝置的可靠性����。增加檢查繼電保護(hù)裝置的頻率�����,加強(qiáng)檢查繼電保護(hù)裝置的力度�����,確定堅(jiān)持的精準(zhǔn)性����,提前預(yù)防繼電保護(hù)裝置發(fā)生故障�����,減少事故發(fā)生的隱患;
(2)改善繼電保護(hù)裝置的設(shè)備:及時(shí)對(duì)檢驗(yàn)設(shè)備的維修和檢測(cè)��,完善電網(wǎng)系統(tǒng)配電自動(dòng)化����,隔離故障,使得電網(wǎng)系統(tǒng)和繼電保護(hù)裝置系統(tǒng)更為完全;
(3)嚴(yán)格把控質(zhì)量關(guān)卡:對(duì)繼電保護(hù)裝置中的零件從選購(gòu)制造方面抓起�����,嚴(yán)格把關(guān)增強(qiáng)繼電保護(hù)裝置的質(zhì)量;
(4)保證繼電保護(hù)裝置在定值區(qū)的精準(zhǔn)度:重視對(duì)繼電保護(hù)設(shè)備的檢查,定時(shí)檢查繼電保護(hù)裝置的各個(gè)零件�,保證繼電保護(hù)裝置在定值區(qū)的準(zhǔn)確性,重視每一次對(duì)設(shè)備的檢查���。
3.風(fēng)險(xiǎn)評(píng)估
電力系統(tǒng)可靠性的研究方法主要是確定性評(píng)估���、概率評(píng)估和風(fēng)險(xiǎn)評(píng)估三種。確定性評(píng)估出現(xiàn)最早����,也應(yīng)用最為廣泛,一般通過(guò)給定系統(tǒng)的參數(shù)�、擾亂方式和運(yùn)行方式來(lái)研究最重大的事故,如“N-1”安全分析���,不考慮不同運(yùn)行狀況等可能性����,直接分析得出的結(jié)果略顯保守;概率評(píng)估不同于確定性分析����,研究了故障發(fā)生的幾率�,但不考慮其不同程度的后果;風(fēng)險(xiǎn)評(píng)估則綜合了前兩者的長(zhǎng)處,分析了發(fā)生故障的概率和產(chǎn)生的后果。
3.1 風(fēng)險(xiǎn)評(píng)估方法
風(fēng)險(xiǎn)評(píng)估(Risk Assessment)指��,在事件發(fā)生前后����,將其風(fēng)險(xiǎn)事件所造成的影響或損失統(tǒng)計(jì)評(píng)估出來(lái)。識(shí)別各種不同的風(fēng)險(xiǎn)���、評(píng)估可能發(fā)生風(fēng)險(xiǎn)的幾率��、控制風(fēng)險(xiǎn)的等級(jí)和應(yīng)對(duì)風(fēng)險(xiǎn)的消減對(duì)策��,還有和預(yù)測(cè)會(huì)產(chǎn)生的一些負(fù)面影響是風(fēng)險(xiǎn)評(píng)估最主要的任務(wù)�。
3.2 在繼電保護(hù)裝置中影響風(fēng)險(xiǎn)評(píng)估的因素
平均負(fù)載率和線路波動(dòng)系數(shù)過(guò)大時(shí)��,故障的風(fēng)險(xiǎn)值也會(huì)一同增大(如表1所示)����。數(shù)據(jù)顯示,只有確定系統(tǒng)負(fù)荷的平均分布�,才能減低風(fēng)險(xiǎn)的故障值。所以系統(tǒng)的操作人員運(yùn)行電力系統(tǒng)時(shí)���,需要使得系統(tǒng)總負(fù)荷均勻分布��,才能最大限度的減低電網(wǎng)故障發(fā)生的風(fēng)險(xiǎn)性�����。
4.結(jié)束語(yǔ)
根據(jù)以上可知��,繼電保護(hù)裝置在電網(wǎng)系統(tǒng)中處于十分重要的位置�����,嚴(yán)格把關(guān)對(duì)繼電保護(hù)裝置的檢查工作是確保電力安全運(yùn)輸?shù)闹匾h(huán)節(jié)����。相關(guān)工作人員需要及時(shí)把握對(duì)繼電保護(hù)裝置的監(jiān)控和檢測(cè),預(yù)防意外事故的發(fā)生����,明確繼電保護(hù)在電網(wǎng)環(huán)節(jié)中的重要性,確保電網(wǎng)的正常運(yùn)行�����。
參考文獻(xiàn)
